Çinli kullanıcılar arasında popüler olan iletişim uygulamalarından veri hasat etmeye odaklanan macOS cihazlarını hedefleyen “Pasivrobber” olarak adlandırılan sofistike bir Çin casus yazılımı paketi.
Çok ikili kötü amaçlı yazılım paketi, veri açığa çıkma ve kalıcılık için gelişmiş teknik özellikleri gösterir.
13 Mart 2025’te güvenlik araştırmacıları, Virustotal’da “WSUS” adlı şüpheli bir Mach-O dosyası belirlediler ve bu da macOS sistemlerinden ve uygulamalarından veri yakalamak için tasarlanmış 20’den fazla ilgili ikili dosyanın keşfedilmesine yol açtı.
.png
)
Daha fazla analiz üzerine araştırmacılar, kötü amaçlı yazılımları öncelikle WECHAT, QQ, Web tarayıcılarını ve e -posta uygulamalarını hedeflediğini belirlediler.
Kandji araştırmacıları, “Yazılımın hedeflenen uygulamaları ve gözlemlenen ağ bağlantıları hem Çin kökenli hem de hedef kullanıcı tabanını güçlü bir şekilde gösteriyor” dedi.
Teknik uygulama ve yetenekler
Pasivrobber, aldatıcı adlandırma stratejileri de dahil olmak üzere sofistike şaşkınlık teknikleri kullanır.
Ana ikili “git”, Apple’ın meşru “GeoD” arka planına benzemek için kasıtlı olarak adlandırılmış gibi görünürken, kötü amaçlı yazılım da yanlış dosya uzantıları (.dylib yerine .gz) kullanarak eklenti kitaplıklarını gizler.
Kötü amaçlı yazılım, aşağıdaki kodla yapılandırılmış bir LaunchDaemon aracılığıyla kalıcılık oluşturur:
Bu, sistem, sistem her önyükleme yaptığında otomatik olarak başlatılmasını sağlar.
Çok bileşenli mimari
Pasivrobber, konserde çalışan üç ana bileşen aracılığıyla çalışır:-
İyi: WSUS’u yürüterek enfeksiyon zincirini başlatan Launchdaemon aracılığıyla başlatılan birincil yürütülebilir ürün
WSUS: FTP aracılığıyla güncellemeler dahil uzak eylemleri ve RPC mesajları aracılığıyla işlevselliği kaldırır
Merkez: Sistem bilgileri toplama dahil olmak üzere cihazda eylemler gerçekleştiren bir ajan olarak işlev görür
Kötü amaçlı yazılım, kimlik bilgilerini ve iletişim verilerini çalmak için belirli uygulamaları hedefleyen Libwxrobber.dylib, libntqqrobber.dylib ve libqqrobber.dylib dahil olmak üzere özel “soyguncu” dylibleri dağıtır.
Pasivrobber, mesajlaşma uygulamalarında verilere erişmek için gelişmiş enjeksiyon tekniklerini kullanır. İkili “Aps”, kötü niyetli kütüphaneleri hedeflenen uygulamalara enjekte eder:
Kötü amaçlı yazılım, frida komut dosyalarını uygulama süreçlerine bağlayarak iletişimi engelleyerek iletişimi engellemesine ve şifreleme anahtarlarını çıkarmasına izin verir.
Tehdit, çeşitli veri kaynaklarını hedefleyen ve kapsamlı gözetim sağlayan 28 eklenti (“sıfır_*dosyası” olarak adlandırılan) ile birlikte gelir:-
- Web tarayıcı geçmişi ve kaydedilmiş şifreler
- E -posta mesajları ve kişiler
- Wechat ve QQ’dan sohbet görüşmeleri
- Bulut Depolama Kimlik Bilgileri
- Sistem bilgileri ve ekran görüntüleri
OSINT Research, kötü amaçlı yazılımları, daha önce ABD Hazinesi tarafından Çin hükümeti için gözetim teknolojisi geliştirmek olarak tanımlanan bir kuruluş olan Meiya Pico’ya bağlı olan “Xiamen Meiya Yian Bilgi Teknolojisi Co” ile ilişkilendiriyor.
MacOS 14.4.1’in altındaki sistemler için kötü amaçlı yazılımların sofistike özellikleri, kapsamlı veri toplama işlevleri ve sürüm kontrolleri, hedeflenen gözetim işlemleri için aktif geliştirme ve dağıtım önermektedir.
Güvenlik uzmanları, bu gelişen tehdide karşı savunmak için MacOS sistemlerini en son sürüme güncel tutmasını ve şüpheli süreçlerin ve ağ bağlantılarının izlenmesini önerir.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial